权限控制终于来了!Redis 6.0新特性——ACLs
在2019年纽约的Redis Day上,Salvatore Sanfilippo(AKA Antirez)介绍了即将发布的Redis 6.0的新特性。以下是关于ACLs的内容。
ACLs简介
在过去的十年中,Redis都会有这样的问题:
用户执行FLUSHALL
,OK现在整个数据库就空了,或者执行DEBUG SEGFAULT
,然后Redis的进程就crash退出了。
(右侧运行redis-server,左侧执行debug segfault后server崩溃退出)
在以前解决这个问题的办法可能是在Redis配置中将危险命令进行rename:
rename-command FLUSHALL ""
这样将命令更名为随机字符串或者直接屏蔽掉,以满足需要。
缺少危险命令管理就会导致很多问题,比如当你使用网络上的一些库的时候,你压根就不知道别人会不会在里面加些FLUSHALL
这样的命令,或者你也可以每次用外部代码都进行一轮Code Review。
ACLs,也就是Access Control List,当有了ACLs之后,你就可以控制比如:
当前的用户(连接)只允许使用RPOP
,LPUSH
这些命令,其他命令都无法调用。
是不是很方便?来看看ACLs是怎么工作的。
最佳实践
首先你要做的是定义用户。
当登录的时候,旧版本中默认用户(defaule user)是可以做任何事的,在Redis 6.0中你可以定义默认用户:
127.0.0.1:6379> ACL setuser antirez on >password1 >password2 >foobar +@all ~*
setuser
...on
表示启用此用户,off则是只定义一个不可用(unaccessable)的用户。
>password1 >password2 >foobar
表示设置了3个密码,可以用来做密码轮换策略。
+@all
表示用户可以使用所有权限,+
后面跟命令权限如+get
,或者+@
后面跟某一类权限。
~*
表示可用(accessable)的键名,这里是*
也就是所有键都可被访问。
127.0.0.1:6379> ACL WHOAMI
"default"
现在是处于默认用户下的,切换用户:
127.0.0.1:6379> AUTH antirez foobar
OK
在以前AUTH后面是直接跟密码的,现在是用户名和密码。
127.0.0.1:6379> ACL WHOAMI
"antirez"
因为之前给这个用户设置的是所有命令可用+所有键可见,所以现在跟default用户没有什么区别:
127.0.0.1:6379> GET foo
(nil)
127.0.0.1:6379> SET foo bar
OK
现在去掉一些权限:
127.0.0.1:6379> ACL setuser antirez -SET
把这个用户的SET
权限去掉后,就不能进行这个操作了:
127.0.0.1:6379> GET foo
"bar"
127.0.0.1:6379> SET foo 123
(error) NOPERM this user has no permissions to run the 'set' command or its subcommand
再来查看一下现在的ACL list:
127.0.0.1:6379> ACL list
1) "user antirez on >password1 >password2 >foobar ~* +@all -set"
2) "user default on nopass ~* +@all"
类似的,你也可以限制用户可以用任何命令但是却只能看部分键,如object*
。
备注
ACLs的实现使用了一些小技巧,像用上了命令的位图(commands' bitmaps),以便让它不会在速度上有所下降。
不使用ACLs的话就和原来的Redis 5一样,使用ACLs当然会有一些额外的开销,但是它们非常小,你在benchmarks中不会察觉到新旧版本的区别。
权限控制终于来了!Redis 6.0新特性——ACLs的更多相关文章
- Redis 6.0 新特性 ACL 介绍
Redis 6.0 新特性 ACL 介绍 Intro 在 Redis 6.0 中引入了 ACL(Access Control List) 的支持,在此前的版本中 Redis 中是没有用户的概念的,其实 ...
- Redis 6.0 新特性-多线程连环13问!
Redis 6.0 来了 在全国一片祥和IT民工欢度五一节假日的时候,Redis 6.0不声不响地于5 月 2 日正式发布了,吓得我赶紧从床上爬起来,学无止境!学无止境! 对于6.0版本,Redis之 ...
- redis 6.0新特性
防止忘记,记录一下 1.多线程IO Redis 6引入多线程IO,但多线程部分只是用来处理网络数据的读写和协议解析,执行命令仍然是单线程.之所以这么设计是不想因为多线程而变得复杂,需要去控制 key. ...
- Redis 6.0 新特性:带你 100% 掌握多线程模型
Redis 官方在 2020 年 5 月正式推出 6.0 版本,提供很多振奋人心的新特性,所以备受关注. 码老湿,提供了啥特性呀?知道了我能加薪么? 主要特性如下: 多线程处理网络 IO: 客户端缓存 ...
- Redis 7.0 新功能新特性总览
说明:本文根据Redis 7 RC2 的release note 整理并翻译 近日,Redis 开源社区发布了7.0的两个预览版.在这两个预览版中,有很多Redis 7.0中新增加的特性,新增加的命令 ...
- Redis4.0新特性
redis 4.0 新特性 Redis 4.0在2017年7月发布为GA.包含几个重大改进:更好的复制(PSYNC2),线程DEL / FLUSH,混合RDB + AOF格式,活动内存碎片整理,内存使 ...
- [翻译] C# 8.0 新特性 Redis基本使用及百亿数据量中的使用技巧分享(附视频地址及观看指南) 【由浅至深】redis 实现发布订阅的几种方式 .NET Core开发者的福音之玩转Redis的又一傻瓜式神器推荐
[翻译] C# 8.0 新特性 2018-11-13 17:04 by Rwing, 1179 阅读, 24 评论, 收藏, 编辑 原文: Building C# 8.0[译注:原文主标题如此,但内容 ...
- Redis 4.0新功能介绍
Redis 的作者 antirez 在三天之前通过博客文章<The first release candidate of Redis 4.0 is out>发布了 Redis 4.0 的第 ...
- Spring Boot 2(一):Spring Boot 2.0新特性
Spring Boot 2(一):Spring Boot 2.0新特性 Spring Boot依赖于Spring,而Spring Cloud又依赖于Spring Boot,因此Spring Boot2 ...
随机推荐
- tensorflow学习笔记——VGGNet
2014年,牛津大学计算机视觉组(Visual Geometry Group)和 Google DeepMind 公司的研究员一起研发了新的深度卷积神经网络:VGGNet ,并取得了ILSVRC201 ...
- JS基础-垃圾回收机制与内存泄漏的优化
[V8引擎]浅析Chrome V8引擎中的垃圾回收机制和内存泄露优化策略 垃圾回收机制 如何判断回收内容 如何确定哪些内存需要回收,哪些内存不需要回收,这是垃圾回收期需要解决的最基本问题.我们可以这样 ...
- 用心整理 | Spring AOP 干货文章,图文并茂,附带 AOP 示例 ~
Spring AOP 是 Java 面试的必考点,我们需要了解 AOP 的基本概念及原理.那么 Spring AOP 到底是啥,为什么面试官这么喜欢问它呢?本文先介绍 AOP 的基本概念,然后根据 A ...
- appium+java(八)获取Toast内容信息
前言 Appium中很经典的问题了,在两年前也就是2017年3月6号07:22分,我才看到appium1.6.3版本的发布,更新内容为Ios上可以实现Toast的获取,而Windows也就是安卓端,还 ...
- 如何正确使用 Spring Cloud?【上】
如何更快地交付软件,每周.每天甚至每个小时向用户发布新特性?如何让新员工在入职后就能部署代码?在如此快的节奏下如何保证质量?快,我们应用开发面临的主要挑战,交付越快就越能紧密地收集到用户反馈,从而更有 ...
- 《Hands-On System Programming with Go》之写文件的代码模板
使用了buffer,这个神奇东东. var w io.WriteCloser // initialise writer defer w.Close() b := bufio.NewWriter(w) ...
- 【译】gRPC vs HTTP APIs
本文翻译自 ASP.NET Blog | gRPC vs HTTP APIs,作者 James,译者 Edison Zhou. 写在开头 现在,ASP.NET Core使开发人员可以构建gRPC服务. ...
- Python语法规则
Python基本语法 Python的语法相对比C,C++,Java更加简洁,比较符合人的正常思维.本篇介绍Python的基本语法,通过本篇文章你可以学到以下内容. 掌握Python的基本语法 识别Py ...
- Appium 使用笔记
零.背景 公司最近有个爬虫的项目,先拿小红书下手,但是小红书很多内容 web 端没有,只能用 app 爬,于是了解到 Appium 这个强大的框架,即可以做自动化测试,也可以用来当自动化爬虫. 本文的 ...
- Comet OJ - Contest #11 B题 usiness
###题目链接### 题目大意:一开始手上有 0 个节点,有 n 天抉择,m 种方案,在每天中可以选择任意种方案.任意次地花费 x 个节点(手上的节点数不能为负),使得在 n 天结束后,获得 y 个节 ...